Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки:
- Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip source-guard
- Создать статическую запись в таблице соответствия для интерфейса, например, для gigabitethernet 1/0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:
console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 gigabitethernet 1/0/1
- Включить функцию защиты IP-адреса для интерфейса gigabitethernet 1/0/1:
console(config-if)# ip source-guard
Так как IP Source Guard работает на основании таблицы соответствий DHCP snooping, необходимо настроить для функции DHCP Snooping доверенный порт:
console(config-if)# ip dhcp snooping trust